Today keys : extreme, exos, login, password, policy, 복잡도, 길이, 기간, 비밀번호, 보안, security, 네트워크, network
password-policy란?
- 사용자 계정의 비밀번호 정책을 설정하는 기능
- 비밀번호의 길이, 복잡성, 만료 기간 등을 설정하여 장비의 보안을 강화
- 특정 계정에 적용하거나, 전체 계정에 일괄 적용 가능
사용 목적
- 비밀번호 보안 강화: 모든 사용자 계정에 대해 통일된 비밀번호 정책을 적용하여 보안을 강화
- 네트워크 장비 보호: 비밀번호 복잡성, 만료, 그리고 계정 잠금 기능을 통해 비인가 사용자로부터 장비를 보호
- 브루트포스 공격 방지: 여러 번 실패한 로그인 시도를 제한하여 브루트포스 공격을 차단
- 정기적인 비밀번호 변경 유도: 비밀번호 만료 기능을 사용하여 정기적인 비밀번호 변경을 유도
설정 방법
configure account all password-policy <옵션> # 전체 계정 적용
configure account 적용계정 password-policy <옵션> # 특정 계정 적용
적용 예시
비밀번호 변경 최소 기간 및 최대 기간
- 장비에 접속하는 계정 비밀 번호에 대한 변경 최소 기간 및 최대 기간 설정
- 최소 기간은 비밀 번호 변경 이후, 다음 비밀 번호 변경까지 최소 기간
예를 들어서 7로 설정하는 경우에는 7일 이후부터 변경 가능 - 최대 기간은 비밀번호 변경 이후, 무조건 비밀 번호를 변경해야 하는 최대 기간
예를 들어서 90으로 설정하는 경우에 90일 이후에는 반드시 비밀번호 변경 필요
- 최대 기간을 설정한 이후에, 최대 기간 이후 접근 시 아래와 같이 비밀 번호 기간이 만료되어서
새로운 비밀 번호를 설정하도록 강제 됨.
비밀번호 최소 길이
- 비밀번호에 대한 최소 길이를 지정
- 최소 길이를 지정한 이후에, 최소 길이보다 짧은 비밀번호 설정은 불가
- 다음은 최소 길이를 10으로 변경한 후, 8자로 변경할 때 오류 발생하는 예시
비밀번호 복잡도 설정
- 비밀번호에 대한 복잡도를 지정
- 소문자, 대문자, 숫자, 특수 문자를 각각 2개씩 사용하도록 강제
- char-validation에서 all-char-groups 옵션으로 설정하고, 다시 해제하려면 none 옵션 사용
- 복잡도 설정 이후에, 비밀 번호 변경 시에 복잡도에 만족하지 못하는 비밀번호로 변경 시에는 오류 발생
계정 잠금 설정
- 장비 접근 시에, 잘못된 비밀번호로 사용 시 실패 횟수에 따른 접속 잠금 설정
- 잠금 설정을 적용하기 위한 on/off만 지정이 가능하고, 실패 횟수는 지정 불가하며, 기본 값으로 동작(3회)
- lockout-on-login-failuers [on/off] 로 잠금 설정 활성화 혹은 비활성화
- 잠금 설정 이후에 잠금을 다시 푸는 것은 2가지 방법으로 가능
- 지정한 시간 이후 자동으로 풀림
- 관리자가 수동으로 잠금 해제하는 경우 - 다음 예시는 잠금 설정을 활성화 하고, 1분 이후에 잠금이 풀리도록 설정
- 장비 접근 시, 잘못된 비밀번호 사용 시에 계정 잠금 메시지 발생
- 계정이 잠긴 이후에는 정상적인 비밀번호로도 접근이 안 됨.
단, 오류메시지가 바뀌지는 않음. - 잠금 해제 시간이 지나고 나면 정상적으로 접근 가능
